jueves, 1 de diciembre de 2016

Hackean el correo del autor del ransomware que infectó el transporte público de San Francisco

El pasado fin de semana miles de ciudadanos de San Francisco se llevaron la más grande de las sorpresas al comprobar que el precio del billete de tren ligero se había reducido a cero. Nada. Gratis. "Out of Order", fura de servicio se podía leer. No se trataba de un experimento para comprobar la viabilidad de un sistema de transporte público totalmente gratuito, sino de la única solución posible que encontraron las autoridades para mantener el servicio en activo mientras lidiaban con el bloqueo del sistema informático. Un delincuente había cifrado los discos duros de más de 2.000 ordenadores y exigía el pago de 73.000 dólares a cambio de la clave.






El conocido periodista especializado en seguridad informática Brian Krebs ha podido saber que un experto anónimo ha logrado acceder a la cuenta de correo electrónico  de Ali Reza (cryptom27@yandex.com) que proporcionó para mantener el contacto con las autoridades y guiarles durante el proceso de pago mediante Bitcoins. El investigador logró acceder a dicha cuenta de correo simplemente adivinando la respuesta a su pregunta secreta de seguridad, pero también a una segunda dirección (cryptom2016@yandex.com) asociada a la principal que estaba protegida con la misma pregunta y la misma respuesta. Mr. Robot imita a la realidad, pero la realidad supera a la ficción.

El suceso es relevante no solo por lo esperpéntico del asunto, sino porque permite saber más sobre los cibercriminales especializados en la extorsión mediante ransomware.

140.000 dólares extorsionados desde agosto


Según revelan las copias de los mensajes obtenidos por Krebs, el delincuente se puso en contacto con el responsable de infraestructura de la Agencia Municipal de Transporte el pasado 25 de noviembre para exigir el pago de 100 Bitcoins. Aunque es una cantidad de dinero elevada, tan solo supondría una pequeña parte de los ingresos obtenidos por el delincuente. Un análisis de las cuentas de correo muestra que desde agosto obtuvo un mínimo de 140.000 dólares extorsionando a sus víctimas.

La inspección de los correos del delincuente indica que el "secuestro" de los ordenadores de la Agencia Municipal de Transporte fue un suceso atípico en su carrera como cibercriminal. Sus principales víctimas son empresas estadounidenses dedicadas a la manufactura de productos y a la construcción, que generalmente terminaban pagando íntegro el rescate exigido: 1 Bitcoin (unos 740/700 euros al cambio de hoy) por cada servidor inutilizado. En algunos casos (como el de cierta compañía llamada China Construction America), las víctimas lograron negociar un rescate menos oneroso.

Todo apunta a que el uso de una dirección de correo de Yandex y un teléfono de contacto ruso es solo una estratagema para desviar la atención de los investigadores, al igual que el pseudónimo Andy Saolis. Los registros del servidor utilizado para lanzar el ataque muestran que fue controlado casi exclusivamente desde direcciones con origen en Irán. Otra posible pista la ofrecen los nombres de algunas cuentas en el servidor, como Mokhi y Alireza. Ali Reza fue el séptimo descendiente de Mahoma y es un nombre persa muy extendido en algunos países musulmanes.

Por ahora se desconocen el paradero y la identidad real del delincuente.

Fuentes:

1 comentario: